Technische und organisatorische Maßnahmen

Einleitung und Umfang

Dispel verpflichtet sich zum Schutz personenbezogener Daten und sensibler Informationen durch die Implementierung robuster technischer und organisatorischer Maßnahmen in allen Bereichen seiner Tätigkeit. Diese Maßnahmen sind darauf ausgelegt, die geltenden gesetzlichen und regulatorischen Rahmenbedingungen einzuhalten, einschließlich der DSGVO, des Data Privacy Framework (US–EU, US–Schweiz und US–UK) sowie vertraglicher Verpflichtungen gemäß unserem Data Protection Addendum.

Dieses Dokument beschreibt die Praktiken, die Dispel anwendet, um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu gewährleisten. Die hier beschriebenen Maßnahmen sind nicht theoretisch — sie werden aktiv durchgesetzt und regelmäßig durch interne Prozesse, unabhängige Prüfungen durch Dritte und Zertifizierungen überprüft.

Governance und Verantwortlichkeit

Die Informationssicherheit bei Dispel basiert auf klarer Governance. Wir pflegen Richtlinien zu Informationssicherheit, zulässiger Nutzung, Datenschutz und Zugangskontrolle, die für alle Mitarbeitenden, Auftragnehmer und Lieferanten verbindlich sind. Die Aufsicht obliegt der Unternehmensführung, und dedizierte Rollen — einschließlich Sicherheits- und Compliance-Beauftragter — sorgen für Verantwortlichkeit.

Dispel unterzieht sich außerdem regelmäßigen Prüfungen und externen Zertifizierungen. Unser aktueller Sicherheitsstatus wird in unserer Echtzeit-Governance-Risk-Compliance-(GRC)-Trust-Management-Plattform überwacht, die die Einhaltung von Standards wie SOC 2 Typ II und ISO 27001 nachweist. Diese Bescheinigungen bilden zusammen mit internen Richtlinienüberprüfungen und kontinuierlicher Überwachung das Rückgrat unseres Compliance- und Verantwortlichkeitsrahmens.

Risikomanagement

Risikomanagement ist in die Abläufe von Dispel integriert. Wir führen periodische Risikoanalysen durch, um neue Bedrohungen zu identifizieren, Gegenmaßnahmen zu priorisieren und sicherzustellen, dass Kontrollen dem Risikoumfeld angemessen bleiben. Besonderes Augenmerk gilt Lieferanten- und Drittanbieterrisiken, da diese systemische Schwachstellen einführen können.

Alle Lieferanten mit hohem und kritischem Risiko sind vertraglich verpflichtet, die gleichen oder nicht weniger strengen Cybersicherheitsstandards einzuhalten, die Dispel intern durchsetzt. Diese Angleichung gewährleistet, dass Sicherheitsverpflichtungen entlang der gesamten Lieferkette gelten und Kundendaten geschützt bleiben, unabhängig davon, wo oder von wem sie verarbeitet werden.

Organisatorische Maßnahmen

Dispel investiert ebenso in Menschen und Prozesse wie in Technologie. Alle Mitarbeitenden durchlaufen bei Einstellung obligatorische Sicherheitsschulungen und erhalten in regelmäßigen Abständen Auffrischungskurse. Wir unterhalten außerdem einen formalen Incident-Response-Prozess, der eine schnelle Erkennung, Eskalation und Behebung von Sicherheitsvorfällen sicherstellt.

Fähigkeiten zur Geschäftsfortführung und Wiederherstellung nach Katastrophen sind dokumentiert, getestet und werden regelmäßig aktualisiert. Dazu gehören verteilte Backups über Verfügbarkeitszonen, strikte Recovery-Point- und Recovery-Time-Ziele sowie die Möglichkeit, Systeme bei Bedarf zu isolieren. Zusätzlich unterstützt Dispel rechtliche Aufbewahrungs- (Legal Hold) und eDiscovery-Prozesse, indem bei Bedarf Datensnapshots in sicheren Umgebungen erfasst und bewahrt werden.

Change-Management ist ein weiterer zentraler Bestandteil unserer organisatorischen Kontrollen. Systemupdates, Konfigurationsänderungen und Softwarebereitstellungen folgen einem formalen Genehmigungsprozess, der Sicherheitsüberprüfung, Tests und Dokumentation umfasst.

Technische Maßnahmen

Zugangskontrolle

Die Zugangskontrolle wird streng durchgesetzt, unter Verwendung rollenbasierter Zugriffsmodelle und dem Prinzip der minimalen Rechtevergabe. Für privilegierte Konten ist Multi-Faktor-Authentifizierung erforderlich, und Sitzungen werden nach Inaktivitätsperioden automatisch beendet.

Datenschutz

Datenschutz wird durch starke Verschlüsselungspraktiken erreicht. Alle sensiblen Daten werden während der Übertragung mit TLS 1.2 oder höher und im Ruhezustand mit AES-256 verschlüsselt. Wo möglich, werden personenbezogene Daten pseudonymisiert oder anonymisiert, um die Exposition zu minimieren. Datenklassifizierungsschemata stellen sicher, dass Informationen entsprechend ihrer Sensitivität gehandhabt werden.

Netzwerk- und Systemsicherheit

Netzwerk- und Systemsicherheit basieren auf der Dispel Zero Trust Engine. Diese Architektur erzwingt Mikrosegmentierung, Moving-Target-Defense und strikte Zugriffsworkflows für operative Technologie und IT-Systeme. Ergänzend dazu setzen wir Firewalls, Intrusion-Detection- und -Prevention-Systeme sowie Schutz gegen Distributed-Denial-of-Service-Angriffe ein. Regelmäßige Schwachstellenscans und Penetrationstests bestätigen die Widerstandsfähigkeit dieser Abwehrmaßnahmen.

Überwachung und Protokollierung

Überwachung und Protokollierung schaffen Transparenz in der gesamten Umgebung. Sicherheitsereignisse werden zentral gesammelt, korreliert und analysiert, um Anomalien zu erkennen. Protokolle werden gemäß Richtlinie aufbewahrt und sind für Prüfungen und forensische Untersuchungen verfügbar.

Sichere Entwicklung

Sichere Entwicklungspraktiken werden in der gesamten Produktentwicklung gemäß IEC 62443-4-1 befolgt. Dispel verwendet moderne CI/CD-Pipelines mit automatisierten Sicherheitsprüfungen, GitHub Advanced Security zur Erkennung von Schwachstellen und Coding-Standards, die sich an den OWASP Top 10 und anderen branchenweiten Empfehlungen orientieren. Änderungen unterliegen einer Peer-Review und Tests vor der Freigabe.

Endgerätesicherheit

Endgerätesicherheit wird durch verwaltete Schutz-Tools, Vollplattenverschlüsselung, Patch-Management und Compliance-Überwachung auf Geräten durchgesetzt.

Physische und umgebungsbezogene Sicherheit

Obwohl Dispel hauptsächlich in Cloud-Umgebungen tätig ist, bleibt physische Sicherheit entscheidend. Die von Dispel genutzten Rechenzentren verwenden geschichtete Schutzmaßnahmen, einschließlich biometrischer Zugangskontrollen, CCTV-Überwachung, redundanter Stromversorgung und Kühlung sowie Brandbekämpfungssystemen. Die Entsorgung von Hardware folgt den NIST 800-88-Standards, um sicherzustellen, dass Daten unwiederbringlich zerstört werden.

Resilienz und Wiederherstellung

Die Abläufe von Dispel sind auf Resilienz ausgelegt. Backups sind geografisch verteilt, werden regelmäßig getestet und vor unbefugtem Zugriff geschützt. Disaster-Recovery-Verfahren werden geprobt, um zu bestätigen, dass Wiederherstellungsziele erreicht werden und die Servicekontinuität auch in ungünstigen Szenarien aufrechterhalten werden kann.

Kontinuierliche Verbesserung

Sicherheit ist nicht statisch. Dispel führt vierteljährliche Überprüfungen seiner Sicherheitslage, jährliche Penetrationstests und fortlaufende Bedrohungsmodellierung durch. Aus Vorfällen oder Beinahevorfällen gewonnene Erkenntnisse fließen direkt in Aktualisierungen von Richtlinien, Kontrollen und Technologien ein. Durch kontinuierliche Anpassung stellen wir sicher, dass unsere Maßnahmen gegen sich entwickelnde Bedrohungen wirksam bleiben.

Datenschutz und Privatsphäre

Dispels Verpflichtung zum Datenschutz ist in seinem Data Protection Addendum formalisiert, das regelt, wie personenbezogene Daten verarbeitet, geschützt und übertragen werden. Wir sind nach dem EU‑US Data Privacy Framework, dem Swiss‑US Framework und der UK‑Erweiterung des EU‑US Frameworks zertifiziert, was rechtmäßige grenzüberschreitende Datenübermittlungen gewährleistet.

Fazit

Die hier beschriebenen Maßnahmen stellen Dispels umfassenden Ansatz zu technischen und organisatorischen Schutzmaßnahmen dar. Sie verbinden starke Governance, disziplinierte Betriebspraktiken und fortschrittliche Technologie, um sicherzustellen, dass Daten jederzeit geschützt sind. Diese Maßnahmen werden regelmäßig überprüft und verfeinert, um den Erwartungen von Kunden, Aufsichtsbehörden und dem sich wandelnden Sicherheitsumfeld gerecht zu werden.